ClickFix攻擊手法再進化：假冒CAPTCHA驗證竊取加密錢包與瀏覽器憑證

資安研究團隊近日揭露兩起相關的ClickFix攻擊活動。CyberProof發現攻擊者透過假冒CAPTCHA驗證頁面植入資訊竊取程式（Infostealer），鎖定超過25種瀏覽器與加密貨幣錢包。Elastic Security Labs則發現同系列攻擊利用遭入侵的合法網站，散布名為MIMICRAT（又稱AstarionRAT）的新型遠端存取木馬（RAT）。兩起攻擊活動在戰術與基礎設施上存在明確關聯。

假冒CAPTCHA驗證誘騙使用者

CAPTCHA驗證機制原本用於區分真人與機器人，多數使用者對這類驗證步驟習以為常。攻擊者正是利用這種信任心理，在遭入侵的網站上植入假冒的Cloudflare驗證頁面，要求使用者複製特定指令並貼到Windows執行對話框中，聲稱這是完成驗證的必要步驟。

CyberProof研究人員於2026年1月23日首次偵測到這項攻擊活動。調查顯示，當受害者進入遭入侵網站時，頁面會嘗試透過CClipDataObject::GetData函數讀取剪貼簿資料。這項攻擊是2025年初鎖定餐廳訂位系統的ClickFix攻擊進化版本，顯示攻擊者持續精進社交工程手法。

資訊竊取程式鎖定加密錢包與瀏覽器

CyberProof發現的這款Infostealer攻擊目標相當廣泛。在加密貨幣領域，惡意程式鎖定MetaMask、Exodus與Trust Wallet等主流錢包。在瀏覽器方面，超過25種瀏覽器遭到鎖定，包括Chrome、Edge、Opera GX，甚至以隱私保護著稱的Tor Browser。

此外，攻擊者還針對Steam遊戲平台帳號、NordVPN等VPN設定檔，以及用於網站管理的FTP登入憑證進行竊取。惡意程式執行前會先檢測運作環境，判斷是否在虛擬機器或沙箱中運行，藉此規避資安研究人員的分析。

攻擊者使用名為Donut的混淆工具產生名為cptch.bin的shellcode檔案，讓惡意程式透過VirtualAlloc與CreateThread等Windows API直接載入至記憶體中執行，有效規避傳統防毒軟體的檔案掃描機制。

MIMICRAT木馬支援22種後門指令

Elastic Security Labs於本月稍早發現的MIMICRAT是一款以C++編寫的遠端存取木馬，具備完整的後滲透攻擊能力。根據研究報告，這款木馬支援22種指令，涵蓋程序與檔案系統控制、互動式Shell存取、Windows Token模擬、shellcode注入，以及SOCKS5代理隧道功能。

MIMICRAT透過HTTPS協定與443埠進行命令與控制（C2）通訊，並偽裝成合法的網站分析流量以規避偵測。Elastic Security Labs指出，這項攻擊活動與Huntress先前記錄的另一起ClickFix攻擊存在戰術與基礎設施重疊，該攻擊部署Matanbuchus 3.0載入器後同樣派送MIMICRAT，最終目標疑為勒索軟體部署或資料外洩。

在Elastic記錄的感染流程中，攻擊者入侵合法的銀行識別碼（BIN）驗證服務bincheck[.]io，植入惡意JavaScript程式碼載入外部PHP腳本，再顯示假冒的Cloudflare驗證頁面。後續的PowerShell指令會繞過Windows事件追蹤（ETW）與反惡意程式掃描介面（AMSI），部署Lua腳本載入器，最終在記憶體中執行MIMICRAT。

攻擊活動鎖定全球17種語言使用者

這項攻擊活動的規模相當可觀。Elastic Security Labs指出，攻擊者支援17種語言，誘餌內容會根據受害者瀏覽器的語言設定動態調整，以擴大攻擊範圍。已知受害者遍布多個地區，包括一所美國大學，以及在公開論壇討論中記錄的多名中文使用者，顯示這是一場廣泛的機會型攻擊。

研究人員發現攻擊者使用多個IP位址託管惡意程式變種，包括91.92.240.219、94.154.35.115與178.16.53.70。獨立研究員R.D. Tarun於2026年2月1日發布的報告亦證實這些攻擊基礎設施的存在。攻擊者會修改Windows系統中的RunMRU登錄機碼，確保惡意程式在每次系統啟動時自動執行。

值得注意的是，攻擊者在Infostealer程式碼中使用「$finalPayload」作為變數名稱，這個命名失誤觸發了Microsoft Defender的行為偵測，被標記為Behavior:Win32/SuspClickFix.C。

企業防護建議

面對這類利用社交工程手法的攻擊，企業應採取多層次防禦策略。透過群組原則限制PowerShell執行權限，僅允許經簽署的腳本運行。部署具備行為分析能力的端點偵測與回應（EDR）解決方案，偵測記憶體內執行的惡意活動與ETW、AMSI繞過行為。

在使用者意識層面，企業應加強員工教育訓練，提醒同仁任何要求在Windows執行對話框中貼上指令的網頁都應視為高度可疑。同時建議監控對外連線行為，封鎖文中提及的已知惡意IP位址。管理加密貨幣資產的組織應考慮採用硬體錢包或離線儲存方案，降低瀏覽器擴充套件遭竊取的風險。